[alex_sev]

Смотрю логи скоро отвечу

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xdyuwbh.dll','');
 QuarantineFile('C:\WINDOWS\system32\189.tmp','');
 DeleteFile('C:\WINDOWS\system32\xdyuwbh.dll');
 DeleteFile('C:\WINDOWS\system32\189.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Прокси сами настраивали?

[alex_sev]

C:\WINDOWS\system32\xdyuwbh.dll - Trojan.MulDrop2.50825

[SaintDevil]

в HJT не было строки O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll
лог от Malwarebytes' Anti-Malware не влазит сюда, весит 240кб
куда запихнуть/скинуть?

[alex_sev]

Запакуйте в архив и прикрепите

Прокси сами настраивали?

[SaintDevil]

на счет прокси нет, это комп на работе, и может настраивал человек который сидел тут до меня
если честно, то я как то даже не подозревал что где то на компе еще и прокси настроен

[alex_sev]

Ок, повторите сканирование и удалите в MBAM все кроме этих строк:

Код:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076511.exe (PUP.PasswordView) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076512.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076580.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
d:\dowload\программы\nero 7 premium edition 7.7.5.1\KEYGEN.exe (RiskWare.Tool.HCK) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019020.exe (Rogue.CasinoTropez) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019100.exe (PUP.Casino) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.

Эти файлы запакуйте в архив с паролем virus

Код:

c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

Повторите логи RSIT

[SaintDevil]

готово

[alex_sev]

Как самочувствие системы?

[SaintDevil]

в данный момент дико тупит, MBAM чистит все что нашел(
а на счет инета, то кажется заработало, по крайней мере больше не перенаправляет) огромное спасибо за помощь
а где именно сидел то вирус?
просто как словил его я понял, вчера открыл exe'шный архив, и система сразу ушла в ребут, дальше началось перенаправление